10 تنظیم فعال غلط فهرست که می تواند امنیت ما را تهدید کند

سعید ناصریسعید ناصریآگوست 1, 20201min0

1. ترجیحات خط مشی گروه کلمات عبور قابل مشاهده

تنظیمات خط مشی گروه به مدیر اجازه می دهد تا حسابهای مدیر محلی را تنظیم کند ، وظایف برنامه ریزی کند و وقتی کاربر وارد اعتبارنامه های مشخص شده می شود ، شبکه تنظیم کند.
GPP ها برای SYSVOL مربوط به Domain Controllers نوشته شده اند.
یک هکر می تواند به فایل های GPP xml در قسمت SYSVOL دسترسی پیدا کرده و اعتبار مشخص شده موجود در GPP را استخراج کند.
تهدیدهای احتمالی که به دلیل تنظیمات نادرست در خط مشی گروه ممکن است رخ دهد:
"یک هکر می تواند دسترسی مشابهی به حسابهای خود از GPP استخراج کند."

توجه: حسابهایی که برای ایجاد GPP ها استفاده می شوند ، معمولاً برای هر دستگاه دسترسی محلی مدیر دارند.

2. شناسه امنیتی پنهان (SID)

سوءاستفاده از تاریخچه SID یک موضوع عضو اکتیو دایرکتوریک به هکر این امکان را می دهد که بتواند از SID های دیگر حساب (یا گروههای) قابل دستیابی دسترسی بیشتری به دست آورد (به طوری که کاربر هیچ اثری از اعضای گروه اضافی نگذارد.)

استفاده از SID می تواند نشان دهد که هکر در تلاش است عضویت یک گروه با دسترسی بالا را مخفی کند ، به عنوان مثال گروهی مانند "Domain Admins" یا مخفی کردن دامنه پس از بهره برداری در یک حساب کاربری با دسترسی کمتر. به آرامی

3. بلیط طلایی

اگر یک هکر یک پرونده کلیدی طولانی مدت برای حساب "krbtgt" داشته باشد ، می تواند عملکرد Log on را بدون هیچ گونه دسترسی شبیه سازی کند. بلیط می تواند شامل نام کاربری جعلی و عضویت در گروه مدیر دامنه (یا سایر عضویت های انتخاب شده توسط هکر) باشد.
یک هکر می تواند به هر سرویس یا دستگاهی در شبکه دسترسی پیدا کند و از آن در هر نقطه استفاده کند. این مجوزها تا زمانی که حساب "krbtgt" بازنشانی شود قابل حفظ است.

4. Domain Replication Backdoor

اگر یک کاربر با سطح دسترسی کم به دامنه ثانویه اضافه شود ، هکر قادر خواهد بود به تمام اطلاعات مربوط به دامنه حساس دسترسی پیدا کند. – به عنوان مثال ، دسترسی به اطلاعات hasht ، مربوط به کاربران ، بدون دسترسی زیاد -. خدمات دامنه به قابلیت دامنه ثانویه نیاز دارند ، دسترسی ثانویه باید روی اشیاء Active Directory اعمال شود.
عدم انجام این کار باعث می شود هکر دسترسی کامل به کاربران دامنه داشته باشد & # 39؛ پایگاه داده

5- دارنده مدیریت غیر مجاز ACL

سوءاستفاده از AdminSDHoder ACLs – مانند اضافه کردن کاربری که به شیء امنیتی AdminSDHolder دسترسی نداشته باشد ، به گونه ای که کنترل کامل یا دسترسی به آن بنویسد. بدون دسترسی زیاد به گروههای مهمی مانند Domain Admins اضافه کنید.
فعال سازی و ویرایش این ویژگی به هکر اجازه می دهد دسترسی ادمین به DC را بدون داشتن حساب کاربری در Active Directory مخفی کند.

6. تعداد کاربری قدرت

کاربران معتبر می توانند شامل هر شیء در دامنه باشند. کاربرانی که رمزهای عبور آنها هرگز به پایان نرسیده است می توانند سرنخی برای شناسایی کاربران با دسترسی زیاد به دامنه باشند.
این گزینه ها به شما امکان می دهد هکرها برای همیشه دسترسی بالایی به شبکه داشته باشند

بلیط 7.Silver

یک کاربر می تواند بلیط خدمات را برای هرگونه سرویس در دامنه درخواست کند. هنگامی که بلیط خدمات با کلید بلند مدت مربوط به حساب رمزگذاری می شود ، هکر می تواند بلیط های خدماتی را جمع آوری کرده و بر روی کلید بلند مدت حملات نامنظم انجام دهد. این حملات به هکر امکان دسترسی می دهد. کامل است تا دستگاه ها در حال کار باشند.

8. LDAP ناشناس مجاز است

دستگاه های کنترل نشده می توانند از Active Directory پرس و جو کرده و اطلاعات مربوط به دامنه را بدون تأیید اعتبار جمع آوری کنند
هکرها می توانند ساختار کامل دایرکتوری و دسترسی از یک کاربر یا کامپیوتر ناشناس و همچنین از طریق اتصال به شبکه را مشاهده کنند.

9.DSRM ورود فعال کنید

DSRM یک حالت بوت ویژه است و برای بازسازی و بازیابی Active Directory در هنگام افت خدمات دایرکتوری استفاده می شود. فعال سازی و ویرایش این ویژگی به هکر این امکان را می دهد تا دسترسی های سرپرست را از طریق یک backdoor روی DC ، بدون هیچ گونه حساب دامنه ، مخفی کند ، و به هکر امکان کنترل کامل و دسترسی به اجزای Domain Control را می دهد.

10- مدیر محلی گذر

از آنجا که بیشتر شرکت ها از نرم افزار تصویربرداری استفاده می کنند ، رمز عبور محلی ادمین اغلب برای همه شرکت ها یکسان است. با سرقت مجوزهای محلی Admin از رایانه های محلی در شبکه ، یک هکر می تواند یک کلید بلند مدت محلی مدیر را برای تأیید اعتبار به دستگاه دیگری ارسال کند.
هنگامی که یک هکر به یکی از دستگاه ها به گواهینامه های Local Admin دسترسی پیدا کند ، می تواند از این رمز عبور برای دسترسی به کلیه دستگاه های موجود در شبکه استفاده کند.

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

چهار + 8 =